در این صفحه

ابزارهای تحلیل بدافزار و شناسایی تهدید

راهنمای جامع ابزارها و تکنیک‌های شناسایی جاسوس‌افزارهای دولتی (مانند پگاسوس)، تحلیل فایل‌های مشکوک و نظارت بر یکپارچگی سیستم، متناسب با بافت پرخطر ایران.

Time15 minutes

ابزارهای تحلیل بدافزار و تشخیص تهدیدات

مقدمه

برای کاربران ایرانی، چشم‌انداز تهدیدات سایبری فراتر از فعالیت‌های معمول مجرمان اینترنتی است. ما با حملات هدفمند از سوی عوامل حکومتی (مانند MuddyWater/وزارت اطلاعات و APT42/سپاه پاسداران) روبرو هستیم که از جاسوس‌افزارهای پیشرفته‌ای نظیر پگاسوس (Pegasus)، پریدیتور (Predator) و بدافزارهای سفارشی که در پوشش فیلترشکن (VPN) یا ابزارهای "ضد سانسور" پنهان شده‌اند، استفاده می‌کنند.

این راهنما بر روی تشخیص و تحلیل تمرکز دارد. برخلاف آنتی‌ویروس‌ها که به صورت منفعلانه از سیستم محافظت می‌کنند، این ابزارها به شما اجازه می‌دهند تا فعالانه بررسی کنید که آیا دستگاه شما آلوده شده است یا خیر، و آیا یک فایل خاص مخرب است یا نه.

[!danger] هشدار حیاتی برای کاربران ایرانی هرگز اسناد حساس و خصوصی را در اسکنرهای ابری عمومی مانند VirusTotal اسکن نکنید. این پلتفرم‌ها فایل‌های آپلود شده را با محققان امنیتی و سازمان‌های دولتی در سراسر جهان به اشتراک می‌گذارند. اگر مجبور به تحلیل یک سند حساس هستید، از Dangerzone یا ابزارهای آفلاین در یک محیط ایزوله (مانند سیستم عامل Tails) استفاده کنید.

۱. جرم‌شناسی موبایل و تشخیص جاسوس‌افزار

تلفن‌های همراه به دلیل نقش کلیدی در ارتباطات و دریافت کدهای احراز هویت دو مرحله‌ای (2FA)، اهداف اصلی نظارت و جاسوسی در ایران هستند.

۱. جعبه ابزار تایید موبایل (MVT - Mobile Verification Toolkit)

این ابزار که توسط آزمایشگاه امنیتی عفو بین‌الملل (Amnesty International) توسعه یافته، استاندارد طلایی برای تشخیص ردپای جاسوس‌افزارهای پیچیده‌ای مانند پگاسوس است.

مناسب برای: متخصصان تکنولوژی و محققان جرم‌شناسی دیجیتال.
پلتفرم: لینوکس / مک‌اواس (رابط خط فرمان).
عملکرد: بررسی نسخه‌های پشتیبان iOS و سیستم‌های اندروید برای یافتن "شاخص‌های آلودگی" (IoCs).
قابلیت‌ها:
- iOS: رمزگشایی و تحلیل نسخه‌های پشتیبان iTunes رمزگذاری شده. این موثرترین روش برای تشخیص پگاسوس است.
- اندروید: اسکن اپلیکیشن‌های نصب شده و پیامک‌ها از طریق ADB. (توجه داشته باشید که اسکن اندروید به دلیل معماری سیستم، محدودتر از iOS است).

[!tip] پشتیبانی جامعه مدنی اگر شما یک فعال مدنی یا روزنامه‌نگار در معرض خطر در ایران هستید و MVT ردپای مشکوکی پیدا کرد، وحشت نکنید. فوراً با هلپ‌دسک امنیت دیجیتال Access Now یا Amnesty Tech برای دریافت کمک‌های تخصصی تماس بگیرید.

۲. نرم‌افزار iMazing (برای iOS)

برای کاربرانی که با خط فرمان (Command Line) راحت نیستند، iMazing قابلیت "تحلیلگر جاسوس‌افزار" (Spyware Analyzer) را ارائه می‌دهد که در واقع یک رابط گرافیکی برای ابزار MVT است.

پلتفرم: ویندوز / مک‌اواس.
نحوه استفاده: آیفون خود را متصل کنید، گزینه "Detect Spyware" را انتخاب کرده و مراحل را دنبال کنید.
نکته: این ابزار به همان دیتابیس عمومی IoCهای MVT متکی است. نتیجه "پاک" (Clean) تضمین‌کننده امنیت صددرصدی نیست، بلکه نشان می‌دهد نشانگرهای شناخته شده یافت نشده‌اند.

۳. Auditor (برای اندروید / GrapheneOS)

برای کاربران سیستم عامل GrapheneOS (که برای کاربران اندرویدی با ریسک بالا به شدت توصیه می‌شود)، اپلیکیشن Auditor تاییدیه مبتنی بر سخت‌افزار ارائه می‌دهد.

چگونه کار می‌کند: از چیپ امنیتی دستگاه برای تایید این موضوع استفاده می‌کند که سیستم عامل دستکاری نشده یا به نسخه قدیمی‌تر (دان‌گرید) برگردانده نشده باشد.
نحوه استفاده: نیازمند دو دستگاه اندرویدی است که یکدیگر را تایید کنند (یکی Auditor و دیگری Auditee).

۲. تحلیل و پاک‌سازی فایل‌ها

کاربران ایرانی مرتباً از طریق ایمیل‌های فیشینگ حاوی پیوست‌های مخرب (PDF، فایل‌های Word) یا لینک‌های دانلود اپلیکیشن‌های جعلی هدف قرار می‌گیرند.

۱. ویروس‌توتال (VirusTotal)

یک پایگاه داده آنلاین عظیم که فایل‌ها و لینک‌ها را با بیش از ۷۰ موتور آنتی‌ویروس به صورت همزمان اسکن می‌کند.

کاربرد: بررسی اینکه آیا یک فایل عمومی (مانند فایل نصبی یک VPN پیدا شده در تلگرام) بدافزار شناخته شده است یا خیر.
نحوه استفاده: آپلود فایل یا چسباندن لینک در virustotal.com.
هشدار حریم خصوصی: هرگز اسناد خصوصی، عکس‌ها یا لیست مخاطبین خود را در اینجا آپلود نکنید.

۲. دنجرزون (Dangerzone)

این ابزار که توسط "بنیاد آزادی مطبوعات" (Freedom of the Press Foundation) ساخته شده، برای باز کردن ایمن اسناد مشکوک ضروری است.

چگونه کار می‌کند: اسناد مشکوک (PDF، آفیس یا عکس) را دریافت کرده و آن‌ها را به یک فایل PDF امن تبدیل می‌کند. این کار با تبدیل سند به پیکسل‌های خام (در یک محیط ایزوله/سندباکس) و سپس بازسازی مجدد آن انجام می‌شود.
چرا استفاده کنیم: اگر پیوستی از یک منبع ناشناس دریافت کردید (مثلاً "روزنامه‌نگاری" که درخواست مصاحبه دارد)، قبل از باز کردن، آن را از طریق Dangerzone اجرا کنید. این کار هرگونه بدافزار یا اسکریپت مخفی شده را از بین می‌برد.
پلتفرم: ویندوز، مک‌اواس، لینوکس.

۳. تحلیل لینک و URL

قبل از کلیک روی لینک‌های دریافتی از طریق پیامک یا تلگرام (به خصوص آن‌هایی که ادعا می‌کنند از طرف "سامانه ثنا"، "قوه قضاییه" یا "اداره پست" هستند):

URLScan.io: تحلیل دقیق اینکه یک وب‌سایت هنگام بازدید چه رفتاری انجام می‌دهد.
بررسی لینک‌های کوتاه: اگر لینک bit.ly یا مشابه آن دریافت کردید، از سرویس‌های بازکننده لینک (مانند expandurl.net) استفاده کنید تا قبل از بازدید، مقصد واقعی لینک را ببینید.

۳. نظارت بر سیستم و شبکه (دسکتاپ)

بدافزارها در کامپیوترها اغلب با "تماس با خانه" یا همان ارتباط با سرور فرماندهی و کنترل (C2) خود را لو می‌دهند.

۱. فایروال‌های شبکه (ترافیک خروجی)

فایروال‌های استاندارد معمولاً حملات ورودی را مسدود می‌کنند. برای تشخیص بدافزار، شما باید بر ترافیک خروجی نظارت کنید.

مک‌اواس: LuLu (رایگان/متن‌باز) یا Little Snitch (پولی). این ابزارها هر زمان که برنامه‌ای بخواهد به اینترنت متصل شود به شما هشدار می‌دهند. اگر "ماشین حساب" یا یک "PDF Viewer" سعی کرد به یک IP در روسیه یا ایران متصل شود، آن را مسدود و بررسی کنید.
ویندوز: Portmaster (توسط Safing). تمام اتصالات شبکه را بصری‌سازی می‌کند و به شما امکان می‌دهد ردیاب‌ها و سرورهای C2 بدافزارها را مسدود کنید.
لینوکس: OpenSnitch. یک فایروال سطح اپلیکیشن برای لینوکس.

۲. اسکنرهای سیستمی

ClamAV (لینوکس/ویندوز/مک): یک موتور آنتی‌ویروس متن‌باز. مفید برای اسکن دایرکتوری‌ها جهت یافتن امضای بدافزارهای شناخته شده.
Rkhunter / Chkrootkit (لینوکس): ابزارهایی برای جستجوی روت‌کیت‌ها (بدافزارهایی که در عمق سیستم عامل مخفی می‌شوند).
مجموعه Sysinternals (ویندوز): ابزارهای پیشرفته‌ای مانند Process Explorer و Autoruns که به شما اجازه می‌دهند دقیقاً ببینید چه چیزی در حال اجراست و چه چیزی به طور خودکار شروع می‌شود. از این‌ها برای یافتن بدافزارهایی که از Task Manager استاندارد مخفی می‌شوند، استفاده کنید.

۴. چشم‌انداز تهدیدات ایران: شاخص‌های خاص

در سال ۲۰۲۶، نسبت به این تهدیدات خاص که در فضای دیجیتال ایران رایج هستند، هوشیار باشید:

۱. فیلترشکن‌ها و ابزارهای جعلی

هکرهای حکومتی (MuddyWater/APT42) مرتباً بدافزارها را در پوشش VPN یا ابزارهای اتصال استارلینک در تلگرام توزیع می‌کنند.

برندهای جعلی شناخته شده (تاریخی و فعلی): "Earth VPN"، "Comodo VPN"، "Hide VPN" و فایل‌های نصب مختلف "Starlink".
اقدام: VPNهای معتبر باید فقط از وب‌سایت رسمی آن‌ها یا گوگل‌پلی/اپ‌استور دانلود شوند، هرگز از طریق فایل پیوست در تلگرام نصب نکنید.

۲. اپلیکیشن‌های داخلی به عنوان ابزار جاسوسی

اپلیکیشن‌هایی که توسط دولت اجباری شده یا به شدت تبلیغ می‌شوند، اغلب دارای قابلیت‌های درهای پشتی (Backdoor) یا دسترسی‌های بیش از حد هستند.

اپلیکیشن‌های پرخطر: روبیکا، ایتا، سروش، بله.
توصیه: با این برنامه‌ها به عنوان جاسوس‌افزار رفتار کنید. اگر برای زندگی روزمره (بانکداری/مدرسه) مجبور به استفاده از آن‌ها هستید، آن‌ها را روی یک دستگاه جداگانه و ایزوله ("گوشی دوم") یا درون یک پروفایل امن (Android Work Profile یا اپلیکیشن Shelter) نصب کنید.

۳. فیشینگ پیامکی (Smishing)

طعمه: پیامک‌هایی با تهدید حکم جلب، ابلاغیه قضایی (سامانه ثنا)، یا بسته‌های پستی مرجوعی.
هدف نهایی: لینک‌ها معمولاً یک فایل APK (برنامه اندروید) را دانلود می‌کنند که مخاطبین و پیامک‌های رمز دوم بانکی (2FA) شما را سرقت می‌کند.
تشخیص: نهادهای دولتی رسمی در ایران معمولاً از طریق پیامک حاوی لینک برای پرداخت فوری یا نصب اپلیکیشن درخواست نمی‌کنند.

۵. واکنش به حادثه: اگر چیزی پیدا کردید چه باید کرد؟

اگر هر یک از این ابزارها آلودگی به بدافزار را تایید کردند:

قطع فوری ارتباط: وای‌فای، دیتای موبایل و بلوتوث را خاموش کنید.
عدم ورود به حساب‌ها: روی دستگاه آلوده هیچ پسوردی را تایپ نکنید.
احتیاط در بکاپ: نسخه پشتیبان (Backup) را روی دستگاه جدید بازگردانی (Restore) نکنید مگر اینکه مطمئن باشید آن نسخه پاک است (بدافزارها اغلب در نسخه‌های پشتیبان باقی می‌مانند).
بازگشت به تنظیمات کارخانه؟ برای بدافزارهای معمولی، "Factory Reset" معمولاً کارساز است. اما برای جاسوس‌افزارهای پیشرفته حکومتی (روت‌کیت‌ها/ایمپلنت‌های فرم‌ور)، ریست کردن کافی نیست. امن‌ترین گزینه، نابود کردن فیزیکی دستگاه و جایگزینی آن است.
درخواست کمک: با استفاده از یک دستگاه دیگر و پاک، با خطوط کمکی تخصصی ذکر شده در بالا (Access Now, Amnesty) تماس بگیرید.

فراداده‌ها و منابع

MVT Repository: mvt.re
Dangerzone: dangerzone.rocks
VirusTotal: virustotal.com
Privacy Guides: privacyguides.org
Certfa (Iranian Cert): certfa.com

منبع:

Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.